Usuarios de Linux en peligro cuando usan redes Wifi

De acuerdo a un informe realizado por el por el investigador de France Telecom, Laurent Butti, los controladores para conectarse a redes Wifi de Linux presentan un grave agujero de seguridad..

La falla descubierta en los drivers Wi-fi para Linux, es un agujero stack-overflow y posibilitaría que un atacante ejecute en forma remota un código malicioso en forma arbitraria, incluso cuando la computadora no esté conectada a una red inalámbrica.

Los controladores afectados son los denominados madwifi para los chipsets inalámbricos de Atheros, y el ataque fue detectado mediante el uso de las técnicas de ‘fuzzing‘.

El fuzzing es un procedimiento para buscar problemas de seguridad en un software, que se basa en crear entradas semi-válidas para una aplicación.

Los inputs deben ser tratados como válidos por la utilidad y lo suficientemente alterados para hacer fallar al sistema.

Así, cuando el programa se malogra, esta operación permite detectar en forma inmediata los agentes maliciosos que generalmente son pasados por alto y explotados por los ciberdelincuentes.

Además, el analista de France Telecom ofreció información sobre la vulnerabilidad encontrada, y los desarrolladores del proyecto madwifi pusieron a disposición de los linuxeros un parche en descarga.

Sin embargo, algunas distribuciones Linux aún no han incluido el código de su parche, por lo que los usuarios de dicho sistema operativo deben actuar con cautela si disponen de una tarjeta inalámbrica con chipset de Atheros y utilizan el controlador de madwifi

Fuente : Noticiasdot.com

Apple publica un parche de seguridad que soluciona 25 vulnerabilidades

Apple ha publicado una actualización que soluciona múltiples vulnerabilidades en Mac OS X que podrían ser aprovechadas por un atacante local o remoto para comprometer un sistema vulnerable.

Apple ha publicado un parche de seguridad que corrige hasta 25 errores distintos en su sistema operativo Mac OS X. Estas vulnerabilidades podrían ser aprovechadas por un atacante para provocar denegaciones de servicios, ejecutar comandos arbitrarios, acceder a información importante del sistema o para eludir restricciones de seguridad.

Esta es la cuarta gran actualización del año (con el código 2007-004). Los componentes y software afectados son muchos: AFP Client, CoreServices, sistema de ficheros UFS, Visor de ayuda, Libinfo, librería RPC, ftpd, fetchmail, la ventana de login (que podría ser eludida), sistema de ficheros en WebDAV, WebFoundation... entre muchos otros sobre los que apenas se han proporcionado detalles técnicos.

De las más graves resulta el fallo en AirPortDriver, que permite la ejecución de código con privilegios administrativos en eMac, iBook, iMac, PowerBook G3, PowerBook G4, o Power Mac G4 que vengan con una tarjeta AirPort.

La anterior actualización para Apple se publicó el día 13 de marzo y supuso el parcheo de 45 errores de seguridad en sus sistemas, muchos de ellos (al igual que en esta ocasión) dados a conocer durante el "mes de los fallos en Apple" que tuvo lugar el pasado mes de enero.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:

Security Update 2007-004 (10.3.9 Server) :
http://www.apple.com/support/downloads/securityupdate20070041039server.html

Security Update 2007-004 (10.3.9 Client) :
http://www.apple.com/support/downloads/securityupdate20070041039client.html

Security Update 2007-004 (PPC) :
http://www.apple.com/support/downloads/securityupdate2007004ppc.html

Security Update 2007-004 (Universal) :
http://www.apple.com/support/downloads/securityupdate2007004universal.html

Más Información:

14/03/2007 Apple publica un parche de seguridad que soluciona 45
vulnerabilidades
http://www.hispasec.com/unaaldia/3063

About Security Update 2007-004
http://docs.info.apple.com/article.html?artnum=305391

Múltiples vulnerabilidades en varios servicios de IBM Tivoli Monitoring

Se han identificado diversas vulnerabilidades en IBM Tivoli Monitoring que podrían permitir a un atacante la ejecución de código arbitrario en sistemas afectados.

Estas vulnerabilidades son causadas por un desbordamiento de buffer ocasionado al procesar cádenas con una longitud demasiado grande. Son varios los servicios que se ven afectados por este fallo: el Tivoli Universal Agent Primary (con puerto TCP de escucha 10110), el Monitoring Agent for Windows OS - Primary (con puerto TCP 6014)y el Tivoli Enterprise Portal Server (este con puerto TCP 14206).

Si un atacante enviara solicitudes muy extensas a cualquiera de estos servicios, se produciría un desbordamiento de pila durante la llamada a una función incluida en kde.dll, lo que posibilitaría la ejecución de código en el sistema sin necesidad de ser un usuario autentificado.

IBM recomienda actualizar a IBM Tivoli Monitoring versión 6.1.0 Fix
Pack 2 (6.1.0-TIV-ITM-FP0002)
ftp://ftp.software.ibm.com/software/tivoli_support/patches/patches_6.1.0/6.1.0-TIV-ITM-FP0002/

Más Información:

IBM Tivoli Monitoring Express Universal Agent Heap Overflow Vunlerability
http://www.zerodayinitiative.com/advisories/ZDI-07-018.html

IBM Tivoli Monitoring Version 6.1.0 Fix Pack 2 (6.1.0-TIV-ITM-FP0002)
http://www-1.ibm.com/support/docview.wss?uid=swg24012341

Vulnerabilidad de Windows aprovechada por el gusano Rinbot.Q

- Este gusano está diseñado para descargar otros códigos maliciosos en los ordenadores infectados

PandaLabs ha detectado el gusano Rinbot.Q, que se propaga aprovechando la vulnerabilidad en el DNS Server de Windows. Esta vulnerabilidad, descubierta recientemente, aún no ha sido parcheada por Microsoft.

“Los usuarios deben estar atentos porque, hasta que el fallo sea parcheado, podrían aparecer nuevos códigos maliciosos que intenten explotar esta vulnerabilidad. Además, hay publicado un exploit que ya aprovecha este fallo, por lo que la situación es bastante grave”, explica Luis Corrons, Director Técnico de PandaLabs.

Rinbot.Q tiene funcionalidades downloader. “Esto lo hace aún más peligroso. Una vez ha llegado al ordenador aprovechando la vulnerabilidad, este gusano puede descargar otros códigos maliciosos en la máquina. Es decir, los ciber-delincuentes cuentan con una forma rápida y silenciosa de propagar sus creaciones más dañinas”, afirma Luis Corrons.

Cuando se instala en el ordenador, este gusano comprueba si hay instalado algún programa para el control de la red, como Ethereal. En caso afirmativo, lo elimina para evitar su detección. Además, Rinbot.Q crea ciertas modificaciones en el registro para ejecutarse con cada reinicio. Este gusano también es capaz de propagarse a través de las unidades compartidas de red.

“No sería extraño que en los próximos días viésemos una oleada de otros gusanos, como alguno de la familia Spamta. Muchas veces, esas oleadas son sólo un señuelo para que los usuarios y las compañías se centren en esa oleada. Mientras, por otro lado y de manera más silenciosa, se están distribuyendo nuevos códigos que aprovechen esta vulnerabilidad”, advierte Luis Corrons.

Los usuarios que deseen comprobar si éste o algún código malicioso ha atacado su ordenador pueden utilizar, de manera completamente gratuita, la solución online TotalScan.

También pueden hacer uso de NanoScan beta, un escáner online que detecta todo el malware activo en un ordenador en menos de un minuto.

Más información sobre estas u otras amenazas informáticas en la Enciclopedia de Panda Software.

Grupo de parches de abril para diversos productos Oracle

Tal y como anunciamos recientemente Oracle ha publicado un conjunto de 36 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad.

La lista de productos afectados es la siguiente:
* Oracle Database 10g Release 1, versiones 10.1.0.4, 10.1.0.5
* Oracle9i Database Release 2, versiones 9.2.0.7, 9.2.0.8
* Oracle Secure Enterprise Search 10g Release 1, versión 10.1.6
* Oracle Application Server 10g Release 3 (10.1.3), versiones
10.1.3.0.0, 10.1.3.1.0, 10.1.3.2.0
* Oracle Application Server 10g Release 2 (10.1.2), versiones
10.1.2.0.1 - 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
* Oracle Application Server 10g (9.0.4), versión 9.0.4.3
* Oracle10g Collaboration Suite Release 1, versión 10.1.2
* Oracle E-Business Suite Release 11i, versiones 11.5.7 - 11.5.10 CU2
* Oracle E-Business Suite Release 12, versión 12.0.0
* Oracle Enterprise Manager 9i Release 2, versiones 9.2.0.7, 9.2.0.8
* Oracle Enterprise Manager 9i, versión 9.0.1.5
* Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.47, 8.48
* Oracle PeopleSoft Enterprise Human Capital Management versión 8.9
* JD Edwards EnterpriseOne Tools versión 8.96
* JD Edwards OneWorld Tools SP23
* Oracle9i Database Release 1, versiones 9.0.1.5, 9.0.1.5 FIPS
* Oracle9i Database Release 2, versiones 9.2.0.5
* Oracle Database 10g Release 2, versión 10.2.0.1

De las 36 correcciones:

* 13 afectan a Oracle Database. Además se publica una actualización para Oracle Enterprise Manager, otra para Oracle Workflow Cartridge, y otra para Ultra Search component. Dos de ellas no requieren un usuario y contraseña válidos para poder ser aprovechadas. Dos de ellas son aplicables a instalaciones de Oracle Database client.

* Una corrección para Oracle Enterprise Manager.

* Cinco vulnerabilidades de Oracle Application Server. Una de Oracle Workflow Cartridge y una de Oracle Secure Enterprise Search también afectan a Oracle Application Server. Dos de las cuales son aprovechables de forma remota sin necesidad de autenticación.

* Un parache para Oracle Collaboration Suite que no puede ser aprovechado de forma remota sin autenticación.

* 11 parches en Oracle E-Business Suite y Applications. Dos de ellas son aprovechables de forma remota sin autenticación.

* Un nuevo parche para Oracle Enterprise Manager, que podría ser aprovechable de forma remota sin autenticación.

* Dos nuevos parches para Oracle PeopleSoft Enterprise. Un nuevo parche para PeopleSoft Enterprise Human Capital Management, y un nuevo parche para JD Edwards EnterpriseOne y JD Edwards OneWorld Tools.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

Oracle Critical Patch Update - April 2007:
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html

Critical Patch Update - April 2007 Documentation Map:
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=420060.1


Más Información:

Oracle Critical Patch Update - April 2007:
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html

Critical Patch Update - April 2007 Documentation Map:
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=420060.1

Vulnerabilidad descubierta en ZoneAlarm

El conocido cortafuego ZoneAlarm tiene un fallo que podría utilizarse en un ataque causando una denegación de servicio.

Un cortafuego es una aplicación diseñada para controlar los puertos de comunicación utilizados en el ordenador. Su trabajo es restringir el acceso desde Internet y viceversa, manteniendo la salida y entrada de datos solo de los programas permitidos.

Existen un grupo de rutinas dentro de Windows (APIs) que son utilizadas por las aplicaciones para pedir y ejecutar servicios en forma transparente al usuario. Por su lado, Windows tiene una tabla indice dinámica de asignaciones para dirigir correctamente este tráfico. La misma recibe el nombre de SSDT (System Service Descriptor Table).

Para realizar su trabajo ZoneAlarm se sirve de múltiples funciones de servicios SSDT. De esta manera intercepta las peticiones de los programas cuyo destino son las API de Windows. Una vez interceptadas, son verificados los privilegios de las peticiones recibidas.

Dos de las funciones involucradas son validadas incorrectamente existiendo la posibilidad de que algunos parámetros inconsistentes sean utilizados, por lo que el cortafuego sufriría una denegación de servicio (DoS). El componente vulnerable de la aplicación es VSDATANT.SYS.

De quedar el ordenador sin la protección del cortafuego, sus puertos estarían vulnerables a cualquier agente malicioso que busque alguna forma de entrar o infectar el sistema.

Existe una prueba de concepto disponible. No ha sido confirmado pero es probable la ejecución remota de código malicioso. Tampoco se han visto publicados exploits que aprovechen este fallo.

Las versiones afectadas por esta vulnerabilidad son ZoneAlarm 6.5.737.000 y ZoneAlarm 6.1.744.001. No se descarta que anteriores versiones también sean vulnerables.

Se recomienda la actualización a una versión más nueva que no sea afectada. Públicamente la versión 7.0.337.000 es la última.

Temas relacionados

Prueba de concepto
http://www.securityfocus.com/data/vulnerabilities/exploits/ZoneAlarm_vsdatantDrv_DoS.c

Página de ZoneAlarm
http://www.zonelabs.com/

Descarga de ZA en Español
http://www.zonealarm.com/store/content/company/products/znalm/freeDownload.jsp?dc=34std&ctry=ES〈=es

Detalles y evolución de la vulnerabilidad RPC/DNS de Microsoft Windows

La vulnerabilidad RPC/DNS en Microsoft Windows está dando que hablar por su gravedad y rápida evolución. El pasado día 13 de abril emitíamos un boletín con carácter de urgencia previendo el potencial alcance del problema. Las sospechas se han confirmado y hoy esta vulnerabilidad supone una seria amenaza en muchos entornos.

Microsoft confirmaba a través de una notificación oficial el día 13, la existencia de una vulnerabilidad que estaba siendo aprovechada por atacantes "de forma muy limitada" según la propia compañía. El problema se debe a un desbordamiento de memoria intermedia en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas. Esto puede ser aprovechado por atacantes para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se envía una petición especialmente manipulada al sistema vulnerable.

Esto afectaría a un sistema sólo si mantiene un DNS (típicamente en servidores de Microsoft) y un potencial atacante tuviese acceso a unos puertos específicos. El ataque no sería posible exclusivamente a través de puerto 53, abierto habitualmente al exterior para las consultas DNS, sino que debe apoyarse de la capacidad de administración remota de DNS (a través de RPC) para explotar la vulnerabilidad y ejecutar código. Microsoft proporcionó un método para eliminar esta funcionalidad y proteger el sistema a falta de parche oficial.

Aun así, varios factores se han añadido a la ecuación para convertir esta vulnerabilidad en un verdadero peligro. Típicamente un controlador de dominio en red interna es también el servidor autorizado DNS del dominio. En una red interna, no suelen protegerse estos controladores tras un cortafuegos, o las reglas de filtrado pueden estar más relajadas. En ese caso, aunque no expuesto al exterior, el servidor podría quedar fácilmente comprometido desde la misma red interna. Si el controlador de dominio queda comprometido, el atacante habría llegado al corazón de una red interna controlada por el directorio activo.

El día 15, metasploit descubrió un exploit público capaz de aprovechar esta vulnerabilidad. Queda desde entonces abierta para todos la posibilidad de estudiar y experimentar con el fallo. El problema concreto parece estar en la función extractQuotedChar. Los ataques dejan de ser "limitados".

Además, aparece al poco tiempo un nuevo exploit (programado por Andrés Tarasco y Mario Ballano) que es capaz de aprovechar la vulnerabilidad sin necesidad de tener acceso al rango mencionado en un principio (1024-5000), sino que permitiría ejecutar código a través del puerto 445. Este puerto es usado para el protocolo SMB (Server Message Block) sobre TCP/IP, y se utiliza para el intercambio de ficheros, entre otros fines. Una vez más, este puerto no suele estar expuesto al exterior, pero mantiene e incluso agrava el problema en redes internas, donde estará abierto con casi toda seguridad. Este código también afecta a Windows 2003 con SP2.

Para colmo, se ha detectado un gusano que intenta aprovechar la vulnerabilidad. El nombre elegido es Rinbot, y una vez que logra ejecutar código, se conecta al dominio x.rofflewaffles.us y convierte a su víctima en zombie (parte de una botnet). La detección específica por parte de los antivirus es escasa todavía. Según el SANS, que ha usado VirusTotal para el análisis:

AhnLab-V3 2007.4.14.0 04.16.2007 Win32/IRCBot.worm.199680.I
AntiVir 7.3.1.52 04.16.2007 HEUR/Crypted
AVG 7.5.0.447 04.16.2007 Win32/CryptExe
DrWeb 4.33 04.16.2007 BackDoor.IRC.Sdbot.1299
eSafe 7.0.15.0 04.16.2007 Suspicious Trojan/Worm
Fortinet 2.85.0.0 04.16.2007 suspicious
Kaspersky 4.0.2.24 04.16.2007 Backdoor.Win32.VanBot.bx
Prevx1 V2 04.16.2007 Malware.Trojan.Backdoor.Gen
Symantec 10 04.16.2007 W32.Rinbot.A
Webwasher-Gateway 6.0.1 04.16.2007 Heuristic.Crypted

Sospechamos que esta vulnerabilidad provocará un nuevo parche fuera del ciclo habitual de Microsoft. De lo contrario no habría solución oficial hasta al menos el ocho de mayo. Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000 e incluso 445 si no es necesario.

Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters"

se debe añadir un valor DWORD llamado "RpcProtocol" con el valor 4. Es importante destacar que es necesario reiniciar el servicio DNS para que el cambio surta efecto.La vulnerabilidad RPC/DNS en Microsoft Windows está dando que hablar por su gravedad y rápida evolución. El pasado día 13 de abril emitíamos un boletín con carácter de urgencia previendo el potencial alcance del problema. Las sospechas se han confirmado y hoy esta vulnerabilidad supone una seria amenaza en muchos entornos.

Microsoft confirmaba a través de una notificación oficial el día 13, la existencia de una vulnerabilidad que estaba siendo aprovechada por atacantes "de forma muy limitada" según la propia compañía. El problema se debe a un desbordamiento de memoria intermedia en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas. Esto puede ser aprovechado por atacantes para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se envía una petición especialmente manipulada al sistema vulnerable.

Esto afectaría a un sistema sólo si mantiene un DNS (típicamente en servidores de Microsoft) y un potencial atacante tuviese acceso a unos puertos específicos. El ataque no sería posible exclusivamente a través de puerto 53, abierto habitualmente al exterior para las consultas DNS, sino que debe apoyarse de la capacidad de administración remota de DNS (a través de RPC) para explotar la vulnerabilidad y ejecutar código. Microsoft proporcionó un método para eliminar esta funcionalidad y proteger el sistema a falta de parche oficial.

Aun así, varios factores se han añadido a la ecuación para convertir esta vulnerabilidad en un verdadero peligro. Típicamente un controlador de dominio en red interna es también el servidor autorizado DNS del dominio. En una red interna, no suelen protegerse estos controladores tras un cortafuegos, o las reglas de filtrado pueden estar más relajadas. En ese caso, aunque no expuesto al exterior, el servidor podría quedar fácilmente comprometido desde la misma red interna. Si el controlador de dominio queda comprometido, el atacante habría llegado al corazón de una red interna controlada por el directorio activo.

El día 15, metasploit descubrió un exploit público capaz de aprovechar esta vulnerabilidad. Queda desde entonces abierta para todos la posibilidad de estudiar y experimentar con el fallo. El problema concreto parece estar en la función extractQuotedChar. Los ataques dejan de ser "limitados".

Además, aparece al poco tiempo un nuevo exploit (programado por Andrés Tarasco y Mario Ballano) que es capaz de aprovechar la vulnerabilidad sin necesidad de tener acceso al rango mencionado en un principio (1024-5000), sino que permitiría ejecutar código a través del puerto 445. Este puerto es usado para el protocolo SMB (Server Message Block) sobre TCP/IP, y se utiliza para el intercambio de ficheros, entre otros fines. Una vez más, este puerto no suele estar expuesto al exterior, pero mantiene e incluso agrava el problema en redes internas, donde estará abierto con casi toda seguridad. Este código también afecta a Windows 2003 con SP2.

Para colmo, se ha detectado un gusano que intenta aprovechar la vulnerabilidad. El nombre elegido es Rinbot, y una vez que logra ejecutar código, se conecta al dominio x.rofflewaffles.us y convierte a su víctima en zombie (parte de una botnet). La detección específica por parte de los antivirus es escasa todavía. Según el SANS, que ha usado VirusTotal para el análisis:

AhnLab-V3 2007.4.14.0 04.16.2007 Win32/IRCBot.worm.199680.I
AntiVir 7.3.1.52 04.16.2007 HEUR/Crypted
AVG 7.5.0.447 04.16.2007 Win32/CryptExe
DrWeb 4.33 04.16.2007 BackDoor.IRC.Sdbot.1299
eSafe 7.0.15.0 04.16.2007 Suspicious Trojan/Worm
Fortinet 2.85.0.0 04.16.2007 suspicious
Kaspersky 4.0.2.24 04.16.2007 Backdoor.Win32.VanBot.bx
Prevx1 V2 04.16.2007 Malware.Trojan.Backdoor.Gen
Symantec 10 04.16.2007 W32.Rinbot.A
Webwasher-Gateway 6.0.1 04.16.2007 Heuristic.Crypted

Sospechamos que esta vulnerabilidad provocará un nuevo parche fuera del ciclo habitual de Microsoft. De lo contrario no habría solución oficial hasta al menos el ocho de mayo. Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000 e incluso 445 si no es necesario.

Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters"

se debe añadir un valor DWORD llamado "RpcProtocol" con el valor 4. Es importante destacar que es necesario reiniciar el servicio DNS para que el cambio surta efecto.

Más Información:

Monday update on Microsoft Security Advisory 935964
http://blogs.technet.com/msrc/archive/2007/04/16/monday-update-on-microsoft-security-advisory-935964.aspx

Situation update on Microsoft Security Advisory 935964
http://blogs.technet.com/msrc/archive/2007/04/15/situation-update-on-microsoft-security-advisory.aspx

Vulnerability in RPC on Windows DNS Server Could Allow Remote Code
Execution.
http://www.microsoft.com/technet/security/advisory/935964.mspx

New Rinbot scanning for port 1025 DNS/RPC
http://isc.sans.org/diary.php?storyid=2643&rss

DNS Vulnerability being Exploited in the Wild
http://www.symantec.com/enterprise/security_response/weblog/2007/04/dns_exploit_time_is_upon_us.html

Escalada de privilegios a través de ficheros no especificados en Adobe ColdFusion MX 7.x

Se ha anunciado la existencia de una vulnerabilidad en Adobe ColdFusion MX 7, que podría ser empleada por atacantes locales para conseguir elevar sus privilegios en el sistema.

El problema reside en la aplicación de permisos inseguros a determinados archivos y directorios. Un atacante local podría emplearlo para elevar sus privilegios en el siguiente reinicio de ColdFusion al reemplazar o editar los archivos afectados.

Se recomienda la consulta del boletín de seguridad de Adobe, disponible en:
http://www.adobe.com/support/security/bulletins/apsb07-08.html
Donde se indica la actualización que se ha publicado para corregir el problema así como la lista de archivos y directorios sobre los que debe aplicarse un cambio de los permisos de forma manual.

Más Información:

Workaround available for Linux and Solaris ColdFusion MX 7 file permissions vulnerability
http://www.adobe.com/support/security/bulletins/apsb07-08.html

Fuente : hispasec.com

VULNERABLILIAD EN AIRODUMP-NP

Parece que hoy, definitivamente, la actualidad va de caza, sólo que en este caso, el cazador se encuentra que debido a un fallo de su "escopeta" el cartucho le explota en las narices.

Hablo de la vulnerabilidad recién detectada en airodump-ng, uno de los integrantes de aircrack-ng (probablemente el programa más utilizado para craquear claves de cifrado en redes inalámbricas).

Y es que, aprovechando este fallo, la presunta víctima puede hacerse con el control de la máquina del presunto atacante...

El fallo radica en que paquetes 802.11 especialmente malformados provocan un desbordamiento de buffer en airodump-ng, que permite la inyección y ejecución de código arbitrario en la máquina que ejecuta el sniffer.

Para que este "contraataque" tenga éxito, es necesario que se esté utilizando la opción -w (ó --write).

Se ha publicado un exploit que abre un shell en un puerto de Backtrack 2.

Están afectadas las versiones hasta la 0.7, pero al parecer el fallo ya está reparado en la última versión estable para descarga.

Más información:
Original advisory.

Múltiples vulnerabilidades en Cisco Wireless LAN Controller y Cisco Lightweight Access Points

Se han encontrado múltiples vulnerabilidades en Cisco Wireless LAN Controller y Cisco Lightweight Access Points.

* WLC utiliza cadenas de comunidad SNMP por defecto conocidas.

* WLC puede dejar de responder ante tráfico Ethernet especialmente manipulado.

* Múltiples vulnerabilidades en Network Processing Unit (NPU) permiten a atacantes no autenticados provocar denegaciones de servicio a través de paquetes SNAP y tráfico 802.11 especialmente manipulado.

* Contraseña por defecto en Cisco Aironet 1000 Series y 1500 Series permite a un atacante acceder al sistema si tiene acceso físico al dispositivo.

* Existe un problema en la comprobación de checksum que hace que las ACL no se mantengan tras un reinicio.

Hardware Vulnerable:
*Wireless LAN Controllers
*Cisco 4400 Series Wireless LAN Controllers
*Cisco 2100 Series Wireless LAN Controllers
*Cisco Wireless LAN Controller Module
*Wireless Integrated Switches and Routers
*Cisco Catalyst 6500 Series Wireless Services Module (WiSM)
*Cisco Catalyst 3750 Series Integrated Wireless LAN Controllers
*Cisco Wireless LAN Controller Module
*Cisco Aironet Access Points
*Cisco Aironet 1000 Series
*Cisco Aironet 1500 Series

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes software para solucionar el problema.

Dada la diversidad de dispositivos y versiones afectadas se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/en/US/products/products_security_advisory09186a008081e189.shtml


Más Información:

Cisco Security Advisory: Multiple Vulnerabilities in the Cisco
Wireless LAN Controller and Cisco Lightweight Access Points
http://www.cisco.com/warp/public/707/cisco-sa-20070412-wlc.shtml

Oracle publicará parches para 37 problemas de seguridad el próximo 17 de abril

Oracle ha anunciado que en su ciclo habitual trimestral de publicación de parches, el próximo 17 de abril se corregirán 37 problemas de seguridad en sus productos.

Para la próxima CPU (Critical Patch Update) de Oracle, se solucionarán 37 problemas de seguridad en total. 13 de estos parches estarán destinados a corregir fallos en Oracle Database, producto "estrella" de la compañía. Dos para Oracle Enterprise Manager. Uno para Oracle Workflow Cartridge y otro para el componente Ultra Search (incrustado en Oracle Database).

De estos fallos mencionados, tres de ellos son especialmente graves, pues no necesitarán autenticación para ser aprovechados. Dos estarán destinados a instalaciones cliente de Oracle Database. Además, 11 serán para Oracle E-Business Suite, 5 para Oracle Application Server y el resto para PeopleSoft y las herramientas JD Edwards Enterprise.

A pesar de ser un número abultado, 37 parches de seguridad en Oracle suponen una drástica reducción en el número de problemas a los que se enfrenta Oracle habitualmente de forma trimestral. Por ejemplo, en su ciclo anterior de enero se anunciaron algo más de 50 parches. En octubre, publicaron más de 100 fallos.

Esta es la segunda vez que Oracle anuncia con antelación algunos detalles de lo que publicarán el día de parcheo. Decidió tomar esta estrategia (en clara analogía con la que sigue Microsoft) en enero de 2007. Esto supuso un paso más en su nueva apuesta por mejorar la estrategia de seguridad de la empresa. Un primer acercamiento fue el unificar los parches de forma mensual, luego trimestral, más tarde incluir más y mejor información en sus boletines y por último anunciar con cierta antelación detalles sobre lo que será publicado el día que se liberen las actualizaciones. Aun así, Oracle necesitará de mucho tiempo para limpiar una imagen muy deteriorada con respecto a la seguridad.


Más Información:

Oracle Critical Patch Update Pre-Release Announcement - April 2007
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html

Oracle Update to Fix 37 Security Flaws
http://www.eweek.com/article2/0,1759,2113043,00.asp

Ejecución de código arbitrario a través de RPC en servidor DNS de Microsoft Windows

Este es un boletín con carácter de urgencia debido a la gravedad del fallo. Se ha encontrado una vulnerabilidad en el sistema DNS de Microsoft Windows que puede ser aprovechada por atacantes remotos para ejecutar código en el sistema.

El problema se debe a un desbordamiento de memoria intermedia en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas enviadas a un puerto entre el 1024 y 5000. Esto puede ser aprovechado por usuarios no autenticados para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se envía una petición especialmente manipulada al sistema vulnerable.

Sólo se ven afectados los sistemas que ejecuten este servicio (DNS), que suele ser la gama "server" de Microsoft. Desde algunas fuentes afirman que ya se están produciendo ataques intentando aprovechar el fallo.

Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000.

Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters"
se debe añadir un valor DWORD llamado "RpcProtocol" con el valor 4.

Más Información:

Microsoft Security Advisory (935964)
http://www.microsoft.com/technet/security/advisory/935964.mspx

Microsoft parchea 5 vulnerabilidades (una afectando a Windows Vista)

Acaba de publicarse el boletín de parches de Microsoft para Abril, que incluye soluciones para cinco vulnerabilidades, cuatro de ellas críticas (es decir, permitiendo ejecución remota de código) y una de las cuales también afecta a Windows Vista...

Las vulnerabilidades para las que se han publicado hoy parches son las siguientes:

• Vulnerabilities in Microsoft Content Management Server Could Allow Remote Code Execution (925939).
• Vulnerability in Universal Plug and Play Could Allow Remote Code Execution (931261).
• Vulnerability in Microsoft Agent Could Allow Remote Code Execution (932168).
• Vulnerabilities in CSRSS Could Allow Remote Code Execution (930178) (afectando a Vista).
• Vulnerability in Windows Kernel Could Allow Elevation of Privilege (931784)

Diversas vulnerabilidades en Kerberos

Se han descubierto diversas vulnerabilidades en krb5 que pueden permitir a un atacante remoto

Se ha encontrado un fallo en la forma en la que se manejan los nombres de usuario en el demonio telnet de MIT krb5. Un atacante remoto podría tener acceso de root sin necesidad de contraseña.

También existen encontrado desbordamientos de memoria intermedia en KDC y kadmin server daemon.

Y por último se ha encontrado un fallo de "double-free" en la librería GSSAPI, que puede permitir la ejecución de código arbitrario.

Se han publicado parches (en código fuente) para la corrección de estos problemas, disponibles desde las direcciones:
http://web.mit.edu/kerberos/advisories/2007-003-patch.txt
http://web.mit.edu/kerberos/advisories/2007-002-patch.txt
http://web.mit.edu/kerberos/advisories/2007-001-patch.txt
Las distribuciones Linux más populares ya han publicado paquetes que incluyen estas actualizaciones.

Más Información:

MITKRB5-SA-2007-003
double-free vulnerability in kadmind (via GSS-API library)
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2007-003.txt

MITKRB5-SA-2007-002
KDC, kadmind stack overflow in krb5_klog_syslog
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2007-002-syslog.txt

MITKRB5-SA-2007-001
telnetd allows login as arbitrary user
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2007-001-telnetd.txt

Critical: krb5 security update
http://rhn.redhat.com/errata/RHSA-2007-0095.html

[ MDKSA-2007:077 ] - Updated krb5 packages fix vulnerabilities
http://archives.mandrivalinux.com/security-announce/2007-04/msg00005.php

Ubuntu Security Notice USN-449-1. krb5 vulnerabilities
http://www.ubuntu.com/usn/usn-449-1

[SECURITY] [DSA 1276-1] New krb5 packages fix several vulnerabilities
http://lists.debian.org/debian-security-announce/debian-security-announce-2007/msg00032.html

MIT Kerberos 5: Arbitrary remote code execution
http://www.gentoo.org/security/en/glsa/glsa-200704-02.xml

Detectan código maligno en documentos RTF

Compañía danesa de seguridad informática ha detectado un sistema para ocultar código maligno en documentos de formato RTF.

Numerosas empresas usan RTF (Rich Text Format) para intercambiar documentos. Entre otras razones, prefieren RTF debido a que ha sido más seguro que los archivos de Word, que pueden ocultar diversas formas de malware. Sin embargo, la compañía de seguridad informática CSIS advierte que los archivos RTF también pueden contener objetos dañinos precisamente al ser abiertos en programas como Word.

Normalmente los archivos RTF no han sido relacionados con código inseguro. Quizás por esa misma razón los programadores de malware optan ahora por ocultar aplicaciones de sabotaje y ciberdelincuencia en ellos.

En concreto, CSIS dice haber encontrado un documento en Internet, que intenta instalar una serie de componentes dañinos en el PC.

El formato RTF (formato de texto enriquecido) fue desarrollado por Microsoft en 1987 y es compatible con la mayoría de los programas de procesamiento de texto.

Fuente: http://www.diarioti.com/gate/n.php?id=13746

Ejecución de código arbitrario en Yahoo Messenger 8

Se ha identificado un fallo en en Yahoo Messenger que puede ser aprovechado por atacantes para ejecutar código arbitrario en el sistema de la víctima.

El fallo se debe a un desbordamiento de memoria intermedia en el control ActiveX AudioConf en la librería yacsom.dll a la hora de procesar argumentos muy largos que se le pasen el método createAndJoinConference. Esto puede ser aprovechado por atacantes remotos para ejecutar código arbitrario si una víctima visita una página especialmente manipulada.

Se recomienda actualizar a la última versión desde:
http://messenger.yahoo.com

Más Información:

Yahoo! Messenger AudioConf ActiveX Control Buffer Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-07-012.html

Denegación de servicio en Windows Vista por problema en driver ATI Radeon

Se ha descubierto un problema en Microsoft Windows Vista que puede ser explotado por usuarios locales maliciosos para provocar denegaciones de servicio.

El problema se debe a un error no especificado en el driver de modo kernel de ATI Radeon (atikmdag.sys) en ciertas configuraciones de sistema. Esto puede ser utilizado por un atacante para provocar el cese de la ejecución del sistema al realizar acciones como permitir la funcionalidad slideshow en ciertos directorios o al cargar o salir de ciertos juegos.

A falta de parche oficial, se recomienda no utilizar la funcionalidad slideshow o simplemente utilizar un driver diferente.


Más Información:

Microsoft Windows Vista ATI Radeon Kernel Mode Driver Denial of Service Vulnerability
http://www.frsirt.com/english/advisories/2007/1160

Varias vulnerabilidades en servidor X.Org

iDefense ha publicado varias vulnerabilidades en el servidor X.Org, que utilizan muchos sistemas operativos de código libre.

Alguna de ellas permiten una escalada de privilegios a usuarios locales, pero hay otra que incluso podría ser explotada de forma remota para ejecutar código arbitrario...

Puesto que los parches ya están disponibles, cabe esperar que las diferentes distribuciones no tardarán en publicar paquetes actualizados.

Más información:

• Several holes in the X.Org server [Heise Security].

Chequeador y nuevos exploit .ANI

Se ha publicado un chequeador para saber si somos vulnerables a los archivos .ANI manipulados.

También se ha publicado un nuevo exploit que funciona en cualquier Windows incluso en aquellos ya patcheados con EEye. Ejecútelo bajo su propia responsabilidad.
Anteriormente el descubridor de la vulnrabilidad ya había publicado este.

Algunos antivirus lo siguen detectando sin problemas:

Avalancha de parches para la vulnerabilidad en ficheros ANI

McAfee dio a conocer el pasado día 28 de marzo una grave vulnerabilidad en Microsoft Windows que permitía a atacantes ejecutar código de forma  totalmente silenciosa. Poco después, se hacía público un exploit y los acontecimientos se han precipitado. Hasta tres parches no oficiales se han publicado y el oficial de Microsoft se adelanta para salir el día 3 de abril, rompiendo su ciclo habitual de los segundos martes de cada mes.

Microsoft confirmaba la existencia de la vulnerabilidad el día 31 de marzo. Se trata de un fallo en el tratamiento de archivos ANI que afecta a casi todas las versiones recientes de Windows: 2000 SP4, XP SP2, XP 64 bits, Server 2003, Server 2003 64 bits y Vista. El problema se basaba en una vulnerabilidad ya conocida y solventada (al parecer no del todo), calificada con el boletín MS05-002 por Microsoft y descubierta inicialmente por eEye.

El ataque se llevaría a cabo a través de documentos HTML, imágenes JPG, o ficheros ANI propiamente que referenciasen a un archivo ANI especialmente construido. Al ser cargado por el navegador, ejecutaría de forma silenciosa código arbitrario en el sistema afectado. Los usuarios
de Internet Explorer 7 en Windows Vista no se verán afectados debido al modo protegido de IE7. Tampoco prosperarían ataques a través de Microsoft Outlook 2007.

eEye publican el mismo día 28 un parche no oficial. Esta primera aproximación no ataca realmente a la vulnerabilidad. Simplemente evita que los cursores animados se carguen fuera del directorio de sistema.

Así, las páginas que intentaran aprovecharse de esto no podrían ejecutar sus cursores, pero un exploit especialmente preparado podría eludir este parche. Poco después, la organización ZERT publica una nueva actualización no oficial que sí ataca de raíz el fallo, evitando que cualquier exploit funcione y finalmente ejecute código arbitrario.

Cuestión de horas después, Microsoft anuncia oficialmente que sacará el día 3 de abril un parche fuera del ciclo habitual de los segundos martes de cada mes. En su propio blog, indica por qué tanta "velocidad" en su actuación, cosa que seguro "se estará preguntando la gente". Explica que
los ataques se han incrementado durante el fin de semana, que existe exploit público y que en realidad, estaban investigando el fallo desde finales de diciembre de 2006. De hecho, pensaban sacar el parche para este problema el día 10 de abril, en su ciclo habitual, pero dadas las
circunstancias se adelanta una semana.

Por último, en lo que se ha convertido en una verdadera avalancha de soluciones, una tercera entidad privada saca un nuevo parche de emergencia que se engancha a la API vulnerable protegiéndola. Se trata de X-Solve, una compañía de Taipei (Taiwán) que entra por primera vez en escena en el campo de los parches no oficiales.

Los parches no oficiales están de moda, y no es nada nuevo. Simplemente, cabe recordar lo que ya escribíamos en este mismo espacio hace justo un año: "Es posible que nos hallemos ante una nueva tendencia en la que compañías y empresas de seguridad se adelantan a la propia Microsoft con la intención de obtener reconocimiento, prestigio, visitas y popularidad. Al margen de la eficacia de estos parches y de la libre decisión de usarlos o no, lo indudable es que estas maniobras estimulan a Microsoft de forma indirecta para la publicación de un parche oficial y provocan una importante presión mediática en la compañía, en cuya política de publicación de seguridad prima la calidad (dedican mucho más tiempo a pruebas que al desarrollo) antes que la velocidad de publicación."

Más información:
An Emergent Patch for Windows Vulnerability
http://x-solve.com/blog/?p=125

Latest on security update for Microsoft Security Advisory 935423
http://blogs.technet.com/msrc/archive/2007/04/01/latest-on-security-update-for-microsoft-security-advisory-935423.aspx

ZERT Patches ANI 0day
http://blogs.securiteam.com/index.php/archives/863
http://zert.isotf.org/advisories/zert-2007-01.htm

Windows .ANI Processing
http://research.eeye.com/html/alerts/zeroday/20070328.html

Sergio de los Santos
ssantos@hispasec.com

Fuente: http://www.hispasec.com/unaaldia/3082/